Für beide Lücken beschreibt der Blog jeweils eine Gegenmaßnahme: GitHub-Nutzer werden aufgefordert, den Klick auf eine Login-Page in vermeintlich von GitHub stammenden E-Mails zu unterlassen, die Sicherheitslücke in Git wiederum lässt sich mit einem Update beheben.
Sawfish-Phishing-Kampagne
Im betreffenden Blogpost warnt GitHub vor Phishing-E-Mails, die sich als Warnung ausgeben, dass im Account des betreffenden GitHub-Users ungewöhnliche Aktivität festgestellt oder aber ein Repo oder Setting geändert wurde. Der Empfänger wird über einen Link zum Login aufgefordert. Die Mails stammen von auf den ersten Blick seriös wirkenden Domains. An die E-Mail-Adressen der GitHub-Nutzer kommen die Angreifer wahrscheinlich über öffentliche Commits. Beliebte Taktiken zur Verschleierung der Umleitung auf die Zielwebsite sind zum Beispiel die Verwendung sogenannter URL-Shortener und PHP-basierter Umleitungen.
Auch Zwei-Faktor-Authentifizierung bietet keinen umfassenden Schutz
Auch Nutzer von 2FA sind nicht notwendigerweise davon ausgenommen, nur wer Hardware-Security-Keys nutzt, ist safe. Die Angreifer leiten sogenannte TOTP-Codes direkt um und machen umgehend davon Gebrauch. Den Zugriff auf die Accounts nutzen sie dann, um Inhalte privater Repositories zu downloaden. Über die Erstellung von Personal Access Tokens oder die Nutzung von OAuth versuchen die Angreifer außerdem, den Zugriff auf die fremden Accounts auch nach einer Passwortänderung durch die eigentlichen Nutzer zu behalten. Für GitHub-Nutzer, die eine E-Mail derartigen Inhalts erhalten haben, gilt: Der Klick auf den Login-Link sollte in jedem Fall unterlassen werden. Wer sich bezüglich der Überprüfung von Änderungen unsicher ist, sollte sich wie gewohnt über die Website einloggen. Ist das Kind bereits in den Brunnen gefallen, empfiehlt der Blogpost die direkte Änderung des Passworts sowie die Überprüfung der Personal Access Tokens. Was ihr in einem solchen Fall sonst noch tun könnt, könnt ihr im entsprechenden Blogpost nachlesen.
Sicherheitslücke in Gits Passwortverwaltung
Die Versionierungssoftware Git verwaltet die Credentials ihrer Nutzer über externe Hilfsprogramme, sogenannte Credential Helper. Ein Mitglied von Googles Projekt Zero hat jetzt eine Schwachstelle in diesen Programmen entdeckt, die laut GitHub alle Git-Versionen ab Version 2.16 betreffen. Laut heise sind allerdings auch frühere Versionen – ab V 1.79 – betroffen. Die Sicherheitslücke ermöglicht es offenbar, über fehlerhafte URLs beliebig andere Daten in den Protokoll-Stream eines Credential Helpers einzuschleusen, was dazu genutzt werden kann, Credentials zu extrahieren.
Ein Update gegen die Sicherheitslücke
Der schnellste und einfachste Weg, sich davor zu schützen, ist ein Update auf V 2.26.1. Wer nicht sofort updaten kann, kann sich in der Zwischenzeit schützen, indem er oder sie von der Ausführung von git clone
mit –recurse-submodules
gegen fremde Repos absieht und am besten ganz auf die Verwendung des Credential Helpers verzichtet. Im zugehörigen Sicherheitshinweis GitHubs findet ihr außerdem eine Anleitung zum Deaktivieren des Credential-Helper-Mechanismus:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
GitHub hat bereits Schritte eingeleitet, um die Nutzer umfassender vor derartigen Angriffen zu schützen. Weitere Details dazu findet ihr ebenfalls im zugehörigen Blogpost.
Passend dazu: GitHub will wachsen und bietet mehr Funktionalität für deutlich weniger Geld
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team